250 Juta Catatan Dukungan Pelanggan Microsoft Terkena Online

Jika Anda pernah menghubungi Microsoft untuk mendapatkan dukungan dalam 14 tahun terakhir, permintaan teknis Anda, bersama dengan beberapa informasi yang dapat diidentifikasi secara pribadi mungkin telah dikompromikan.

Microsoft hari ini mengakui insiden keamanan yang mengekspos hampir 250 juta catatan "Layanan Pelanggan dan Dukungan" (CSS) di Internet karena server yang salah konfigurasi yang berisi log percakapan antara tim dukungan dan pelanggan.

Menurut Bob Diachenko, seorang peneliti cybersecurity yang menemukan basis data yang tidak terlindungi dan melaporkan ke Microsoft, log berisi catatan yang mencakup mulai 2005 hingga Desember 2019.

Dalam sebuah posting blog, Microsoft mengonfirmasi bahwa karena aturan keamanan yang tidak terkonfigurasi ditambahkan ke server yang dipertanyakan pada tanggal 5 Desember 2019, memungkinkan pemaparan data, yang tetap sama hingga para insinyur memperbaiki konfigurasi pada tanggal 31 Desember 2019.

Microsoft juga mengatakan bahwa database itu dihapus menggunakan alat otomatis untuk menghapus informasi yang dapat diidentifikasi secara pribadi dari sebagian besar pelanggan, kecuali dalam beberapa skenario di mana informasi itu bukan format standar.

"Investigasi kami mengkonfirmasi bahwa sebagian besar catatan dibersihkan dari informasi pribadi sesuai dengan praktik standar kami," kata Microsoft.

Namun, menurut Diachenko, banyak catatan dalam database yang bocor berisi data yang dapat dibaca tentang pelanggan, termasuk:

• alamat email,
• Alamat IP,
• Lokasi,
• Deskripsi klaim dan kasus CSS,
• Email agen dukungan Microsoft,
• Nomor kasus, resolusi, dan komentar,
• Catatan internal yang ditandai sebagai "rahasia."

"Masalah ini khusus untuk basis data internal yang digunakan untuk analitik kasus dukungan dan tidak mewakili paparan layanan cloud komersial kami," kata Microsoft.

Dengan memiliki informasi kasus yang sensitif dan alamat email dari pelanggan yang terkena dampak, data yang bocor dapat disalahgunakan oleh scammers dukungan teknologi untuk mengelabui pengguna agar membayar untuk masalah komputer yang tidak ada dengan meniru perwakilan dukungan Microsoft.

"Tidak adanya Informasi Identifikasi Pribadi di tempat pembuangan tidak relevan di sini, mengingat bahwa log dukungan teknis sering mengekspos klien VIP, sistem internal dan konfigurasi jaringan, dan bahkan kata sandi. Data tersebut adalah tambang emas bagi para penjahat pasien yang bertujuan untuk melanggar organisasi besar dan pemerintah, "COO dari ImmuniWeb Ekaterina Khrustaleva mengatakan kepada The Hacker News.

"Lebih buruk lagi, banyak perusahaan besar dan tidak hanya Microsoft telah kehilangan visibilitas permukaan serangan eksternal mereka, membuat klien dan mitra mereka terhadap risiko yang signifikan. Kita mungkin akan melihat banyak insiden serupa di tahun 2020."

Roger Grimes, pengarang data Defense-Driven Defense KnowBe4, juga berbagi komentar dan pengalamannya dengan The Hacker News, dengan mengatakan:

"Setelah bekerja untuk Microsoft selama 15 tahun, 11 tahun sebagai karyawan penuh waktu, saya telah melihat secara langsung seberapa banyak mereka mencoba melawan skenario seperti ini. Ada beberapa lapisan kontrol dan pendidikan yang dirancang untuk menghentikannya agar tidak terjadi. Dan itu menunjukkan kepada Anda betapa sulitnya untuk mencegahnya 100% dari waktu. Tidak ada yang sempurna. Kesalahan dan kebocoran terjadi. Setiap organisasi memiliki izin yang terlalu permisif. Setiap! Hanya masalah jika seseorang di luar organisasi menemukan atau jika seseorang mengambil keuntungan. itu. "

"Dalam kasus ini, seburuk itu, ditemukan oleh seseorang yang tidak melakukan hal-hal jahat dengannya. Tentu saja, data, duduk tanpa perlindungan, bisa juga digunakan oleh orang-orang jahat, tetapi sejauh ini, tidak ada telah membuat kasus itu atau memberikan bukti bahwa itu telah digunakan dengan jahat, "tambah Grimes.

"Siapa pun dapat memiliki kesalahan. Pertanyaan paling penting adalah bagaimana kesalahan itu terjadi dan bagaimana mencegahnya terjadi di lain waktu, dan jika ada orang lain yang bisa terjadi dari keadaan yang sama."

Sebagai akibat dari insiden ini, perusahaan mengatakan mulai memberi tahu pelanggan yang terkena dampak yang datanya ada di database Layanan Pelanggan dan Dukungan yang terekspos.